Apparaatquery
Met apparaatquery kunt u snel on-demand informatie verkrijgen over de status van uw apparaten. Wanneer u een query invoert op een geselecteerd apparaat, wordt met apparaatquery een query in realtime uitgevoerd. De geretourneerde gegevens kunnen vervolgens worden gebruikt om te reageren op beveiligingsrisico's, problemen met het apparaat op te lossen of zakelijke beslissingen te nemen.
Vereisten
Als u Apparaatquery in uw tenant wilt gebruiken, moet u een licentie hebben die Microsoft Intune Advanced Analytics bevat. Geavanceerde analyse functies zijn beschikbaar met:
- De Intune Geavanceerde analyse-invoegtoepassing
- Microsoft Intune Suite
Als u Apparaatquery op een apparaat wilt gebruiken, moet het apparaat zijn ingeschreven bij Endpoint Analytics. Meer informatie over het inschrijven van een apparaat bij Endpoint Analytics.
U kunt zich niet afmelden voor cloudmeldingen (WNS)
Een gebruiker kan alleen apparaatquery gebruiken als u de machtigingQuery voor beheerde apparaten - aan de gebruiker toewijst.
Als u apparaatquery wilt gebruiken, moeten apparaten worden Intune beheerd en in bedrijfseigendom zijn.
Als u externe acties wilt uitvoeren, meldt u zich minimaal aan bij het Intune-beheercentrum met een account met de rol Helpdeskmedewerker. Ga naar Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor meer informatie over de verschillende rollen.
Als u de externe actie wilt ontvangen, moet het apparaat zijn verbonden met internet en zijn ingeschakeld.
Ondersteunde platformen
Apparaatquery wordt momenteel alleen ondersteund op apparaten met Windows 10 en hoger.
Apparaatquery gebruiken
Als u apparaatquery wilt gebruiken, gaat u naar Apparaten en selecteert u het apparaat waarop u apparaatquery wilt gebruiken. Selecteer Apparaatquery in de sectie Bewaken .
De ondersteunde eigenschappen die u kunt opvragen, worden weergegeven in de sectie Eigenschappen . Als u een query wilt uitvoeren, voert u een KQL-query (Kusto-querytaal) in en selecteert u Uitvoeren. Resultaten worden weergegeven in het tabblad Resultaten .
Zie Meer informatie over Kusto-querytaal voor meer informatie over Kusto-querytaal.
Tip
U kunt nu Copilot in Intune (openbare preview) gebruiken om KQL-query's te genereren voor apparaatquery's met behulp van aanvragen in natuurlijke taal. Ga voor meer informatie naar Query met Copilot in apparaatquery.
Acties voor externe apparaten
Gebruik de Intune acties voor externe apparaten in Query voor één apparaat om u te helpen uw apparaten op afstand te beheren. Vanuit de interface voor apparaatquery's kunt u nu apparaatacties uitvoeren op basis van queryresultaten voor snellere en efficiëntere probleemoplossing.
Beschikbare externe acties
De beschikbare apparaatacties zijn afhankelijk van de apparaatconfiguratie. Niet alle acties zijn beschikbaar voor alle apparaten.
Voor een volledige lijst van wat er op uw apparaten kan worden gedaan, selecteert u in het Intune beheercentrum Apparaten > Alle apparaten en selecteert u een specifiek apparaat. De beschikbare apparaatacties worden bovenaan weergegeven.
De volgende lijst bevat ondersteunde apparaatacties:
| Actie | Omschrijving |
|---|---|
| Autopilot opnieuw instellen | Hiermee herstelt u een apparaat naar de oorspronkelijke instellingen en verwijdert u persoonlijke bestanden, apps en instellingen. |
| BitLocker-sleutelrotatie | Hiermee wijzigt u de BitLocker-herstelsleutel voor een apparaat en uploadt u de nieuwe sleutel naar Intune. |
| Diagnostische gegevens verzamelen | Verzamelt diagnostische logboeken van een apparaat en uploadt de logboeken naar Intune. |
| Verwijderen | Hiermee verwijdert u een apparaat uit Intune beheer, worden alle bedrijfsgegevens verwijderd en wordt het apparaat buiten gebruik gesteld. |
| Nieuwe start | Installeert de nieuwste versie van Windows opnieuw op een apparaat en verwijdert apps die door de fabrikant zijn geïnstalleerd. |
| Volledige scan | Start een volledige scan van het apparaat door Microsoft Defender Antivirus. |
| Apparaat zoeken | Toont de geschatte locatie van een apparaat op een kaart. |
| ConfigRefresh onderbreken | ConfigRefresh onderbreken om herstel uit te voeren op een apparaat voor probleemoplossing of onderhoud of om wijzigingen aan te brengen. |
| Snelle scan | Hiermee start u een snelle scan van het apparaat door Microsoft Defender Antivirus. |
| Afstandsbediening met Team Viewer | Hiermee kunt u een apparaat op afstand beheren met TeamViewer. |
| Naam van apparaat wijzigen | Wijzigt de apparaatnaam in Intune. |
| Opnieuw opstarten | Start een apparaat opnieuw op. |
| Buiten gebruik stellen | Hiermee worden bedrijfsgegevens en instellingen van een apparaat verwijderd en blijven persoonlijke gegevens intact. |
| Lokaal beheerderswachtwoord draaien | Hiermee wijzigt u het lokale beheerderswachtwoord voor een apparaat en slaat u het wachtwoord op in Intune. |
| Apparaat synchroniseren | Synchroniseert een apparaat met Intune om de meest recente beleidsregels en configuraties toe te passen. |
| Windows Defender-beveiligingsinformatie bijwerken | Updates de beveiligingsinformatiebestanden voor Microsoft Defender Antivirus. |
| pincode Windows 10 opnieuw instellen | Hiermee stelt u de pincode van een apparaat dat gebruikmaakt van Microsoft Entra-verificatie opnieuw in. |
| Wissen | Met deze actie worden de fabrieksinstellingen van een apparaat hersteld en worden alle gegevens en instellingen verwijderd. |
Ondersteunde operators
Apparaatquery ondersteunt alleen een subset van de operators die worden ondersteund in de Kusto-querytaal (KQL). De volgende operators worden momenteel ondersteund:
Tabeloperators
Tabeloperators kunnen gegevensstromen filteren, samenvatten en transformeren. Momenteel worden de volgende operators ondersteund:
| Tabeloperators | Beschrijving |
|---|---|
| tellen | Retourneert een tabel met één record met het aantal records |
| duidelijk | Produceert een tabel met de unieke combinatie van de opgegeven kolommen van de invoertabel |
| verbinden | De rijen van twee tabellen samenvoegen tot een nieuwe tabel door de rij voor hetzelfde apparaat te vergelijken |
| bestellen op | De rijen van de invoertabel sorteren op een of meer kolommen |
| project | Selecteer de kolommen die u wilt opnemen, de naam ervan wijzigen of verwijderen en nieuwe berekende kolommen invoegen |
| nemen | Teruggaan tot het opgegeven aantal rijen |
| Boven | Retourneert de eerste N-records gesorteerd op de opgegeven kolommen |
| waar | Een tabel filteren op de subset van rijen die voldoen aan een predicaat |
Scalaire operators
De volgende tabel bevat een overzicht van operators:
| Exploitanten | Beschrijving | Voorbeeld |
|---|---|---|
| == | Gelijk | 1 == 1, 'aBc' == 'AbC' |
| != | Niet gelijk | 1 != 2, 'abc' != 'abcd' |
| < | Minder | 1 < 2, 'abc' < 'DEF' |
| > | Groter | 2 > 1, 'xyz' > 'XYZ' |
| <= | Kleiner of gelijk aan | 1 <= 2, 'abc' <= 'abc' |
| >= | Groter of gelijk | 2 >= 1, 'abc' >= 'ABC' |
| + | Toevoegen | 2 + 1, now() + 1d |
| - | Aftrekken | 2 - 1, now() - 1h |
| * | Vermenigvuldigen | 2 * 2 |
| / | Verdelen | 2 / 1 |
| % | Modulo | 2 % 1 |
| zoals | Left Hand Side (LHS) bevat een overeenkomst voor Right Hand Side (RHS) | 'abc' like '%B%' |
| Bevat | RHS treedt op als een subsectie van LHS | 'abc' contains 'b' |
| !Bevat | RHS komt niet voor in LHS | 'team' !contains 'i' |
| startswith | RHS is een eerste subsectie van LHS | 'team' startswith 'tea' |
| !startswith | RHS is geen eerste subsectie van LHS | 'abc' !startswith 'bc' |
| endswith | RHS is een afsluitende subsectie van LHS | 'abc' endswith 'bc' |
| !endswith | RHS is geen afsluitende subsectie van LHS | 'abc' !endswith 'a' |
| en | Waar als en alleen als RHS en LHS waar zijn | (1 == 1) and (2 == 2) |
| of | Waar dan en alleen als RHS of LHS waar is | (1 == 1) or (1 == 2) |
Aggregatiefuncties
Aggregatiefuncties kunnen worden gebruikt met de operator overzichtstabel om samengevatte waarden te berekenen. Momenteel worden de volgende aggregatiefuncties ondersteund:
| Functie | Beschrijving |
|---|---|
| avg() | Retourneert het gemiddelde van de waarden in de groep |
| count() | Retourneert een telling van de records per samenvattingsgroep |
| countif() | Retourneert een aantal rijen waarvoor Predicaat waar wordt geëvalueerd |
| dcount() | Retourneert het aantal afzonderlijke waarden in de groep |
| max() | Retourneert de maximumwaarde in de groep |
| maxif() | Vanaf versie 2107 kunt u maxif gebruiken met de operator samenvattingstabel.
Retourneert de maximumwaarde voor de groep waarvoor Predicaat wordt geëvalueerd. true |
| min() | Retourneert de minimumwaarde in de groep |
| minif() | Vanaf versie 2107 kunt u minif gebruiken met de operator overzichtstabel.
Retourneert de minimumwaarde voor de groep waarvoor Predicaat evalueert als true. |
| percentiel() | Retourneert een schatting voor het opgegeven dichtstbijzijnde rangschikkings percentiel van de populatie die is gedefinieerd door Expr |
| sum() | Retourneert de som van de waarden in de groep |
| sumif() | Retourneert een som van Expr waarvoor Predicaat waar wordt geëvalueerd |
Scalaire functies
Scalaire functies kunnen worden gebruikt in expressies. Momenteel worden de volgende scalaire functies ondersteund:
| Functie | Beschrijving |
|---|---|
| ago() | Trekt de opgegeven periode af van de huidige UTC-kloktijd |
| bin() | Hiermee worden waarden naar beneden afgerond op veel datum/tijd veelvouden van een bepaalde bin-grootte |
| case() | Evalueert een lijst met predicaten en retourneert de eerste resultaatexpressie waarvan het predicaat is voldaan |
| datetime_add() | Berekent een nieuwe datum/tijd van een opgegeven datumdeel vermenigvuldigd met een opgegeven hoeveelheid, toegevoegd aan een opgegeven datum/tijd |
| datetime_diff() | Berekent het verschil tussen twee datum-tijdwaarden |
| iif() | Evalueert het eerste argument en retourneert de waarde van de tweede of derde argumenten, afhankelijk van of het predicaat wordt geëvalueerd als waar (tweede) of onwaar (derde) |
| indexof() | Functie rapporteert de op nul gebaseerde index van het eerste exemplaar van een opgegeven tekenreeks in invoertekenreeks |
| isnotnull() | Evalueert het enige argument en retourneert een Booleaanse waarde die aangeeft of het argument een niet-null-waarde oplevert |
| isnull() | Evalueert het enige argument en retourneert een Booleaanse waarde die aangeeft of het argument een null-waarde oplevert |
| now() | Retourneert de huidige UTC-kloktijd |
| strcat() | Voegt tussen 1 en 64 argumenten samen |
| strlen() | Retourneert de lengte, in tekens, van de invoertekenreeks |
| subtekenreeks() | Extraheert een subtekenreeks uit een brontekenreeks die begint vanaf een index tot het einde van de tekenreeks |
| tostring() | Hiermee wordt invoer geconverteerd naar een tekenreeksweergave |
Ondersteunde eigenschappen
Apparaatquery ondersteunt de volgende entiteiten. Zie Intune Data Platform Schema voor meer informatie over welke eigenschappen worden ondersteund voor elke entiteit.
BiosInfo
Certificaat
CPU
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Proces
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Bekende beperkingen
De resultaatreeks van een query is beperkt tot 128kb tekens. Als het resultaat van uw query langer is dan 128kb tekens, wordt het resultaat afgekapt. Een foutbericht laat u weten hoeveel rijen zijn afgekapt.
U kunt slechts 15 query's per minuut verzenden. Als er een fout optreedt dat de querylimiet is overschreden , wacht u een minuut en probeert u het opnieuw.
Query-invoer heeft een lengte van 2048 tekens. Als er een te lange queryfout optreedt, verfijnt u de query zodat deze minder tekens bevat en probeert u het opnieuw.
De scalaire functie now() biedt geen ondersteuning voor de offsetparameter.
De operator !like wordt niet ondersteund.
In het invoervenster worden automatisch dubbele aanhalingstekens aanbevolen wanneer alleen enkele aanhalingstekens worden ondersteund op de volgende operatoren:
- Bevat
- !Bevat
- startswith
- !startswith
- endswith
De entiteit WindowsRegistry kan de RegistryKey voor de hoofdmap niet retourneren.
De entiteit WindowsRegistry retourneert geen 64-bits gedeelde registersleutels.
De entiteit WindowsRegistry retourneert binaire ValueData niet.
Als u een query uitvoert op apparaten die worden uitgevoerd op Windows 10, moeten ze een versie van minimale kwaliteit hebben.
Als Windows 10 21H2 wordt uitgevoerd, controleert u of versie 10.0.19044.3393 wordt uitgevoerd.
Als Windows 10 22H2 wordt uitgevoerd, controleert u of versie 10.0.19045.3393 wordt uitgevoerd.
Als er meerdere netwerkkaarten beschikbaar zijn op de computer, wordt alleen het eerste geconfigureerde domein geretourneerd.
Als TPM 2.0 aanwezig is op het apparaat, wordt geactiveerd en ingeschakeld altijd geretourneerd als WAAR.
Als een bestand momenteel wordt gebruikt op de computer, retourneert FileInfo-query's een fout.
Als de eindgebruiker beheerderstoegang heeft tot het apparaat, kan deze mogelijk clientgegevens wijzigen die worden weergegeven in de queryresultaten. Bijvoorbeeld de versie en het register van het besturingssysteem.
Volgende stappen
Ga voor meer informatie naar: